王英哲

最近，勒索軟件再次登上新聞?lì)^條。據(jù)報(bào)道，攻擊者將目標(biāo)瞄準(zhǔn)醫(yī)療保健提供者，并使用偽裝成會(huì)議邀請(qǐng)或發(fā)票的文件進(jìn)行針對(duì)性的網(wǎng)絡(luò)釣魚活動(dòng)，這些文件包含指向谷歌文檔的鏈接，然后跳轉(zhuǎn)至含有簽名的可執(zhí)行文件鏈接的PDF文件，這些可執(zhí)行文件的名稱帶有“預(yù)覽”和“測(cè)試”等特殊詞。

一旦勒索軟件進(jìn)入某一系統(tǒng)，攻擊者就會(huì)捕獲在網(wǎng)絡(luò)上留下的珍貴（機(jī)密）信息，以進(jìn)行橫向移動(dòng)并造成更大的破壞。這樣簡(jiǎn)單易得手的非法訪問行為實(shí)際上是可以避免的，可能是由于舊的和被遺忘的設(shè)置或過期的策略所導(dǎo)致，可以通過以下方法來檢查Windows中常見的不良習(xí)慣，并防止勒索軟件攻擊。

密碼存儲(chǔ)在組策略首選項(xiàng)中

2014年，MS14-025修補(bǔ)了組策略首選項(xiàng)的漏洞，并刪除了這種不安全的存儲(chǔ)密碼功能，但卻并未刪除密碼。勒索軟件攻擊者使用PowerShell腳本的Get-GPPPassword函數(shù)獲取了遺留的密碼。

安全建議：

查看組策略首選項(xiàng)，以確認(rèn)企業(yè)組織是否曾經(jīng)以這種方式存儲(chǔ)過密碼。想想有沒有在其他任何時(shí)間將一些憑據(jù)留在腳本或批處理文件中。查看管理流程，以了解在記事本文件、便簽本位置和其他未受保護(hù)的文件中是否遺留有密碼。

使用遠(yuǎn)程桌面協(xié)議

是否仍在使用不安全且不受保護(hù)的遠(yuǎn)程桌面協(xié)議？如今，我們?nèi)匀豢梢钥吹竭@樣一些報(bào)告，其中攻擊者使用暴力破解和獲取到的憑據(jù)闖入了網(wǎng)絡(luò)中開放的遠(yuǎn)程桌面協(xié)議。通過遠(yuǎn)程桌面設(shè)置服務(wù)器、虛擬機(jī)甚至Azure服務(wù)器都是非常容易的一件事。啟用遠(yuǎn)程桌面而不采取最低限度的保護(hù)措施，例如制約或限制對(duì)特定靜態(tài)IP地址的訪問，不使用RDgateway防護(hù)措施來保護(hù)連接，或未設(shè)置雙因素身份驗(yàn)證等，這意味著攻擊者可以很容易地控制您網(wǎng)絡(luò)。

安全建議：

可以將Duo.com之類的軟件安裝到本地計(jì)算機(jī)上，以更好地保護(hù)遠(yuǎn)程桌面。

密碼重復(fù)使用

您或您的用戶多久重復(fù)使用一次密碼？攻擊者可以訪問在線數(shù)據(jù)轉(zhuǎn)儲(chǔ)位置中已獲取的密碼。經(jīng)常重復(fù)使用密碼，攻擊者就會(huì)使用這些憑證，以各種攻擊序列對(duì)網(wǎng)站、帳戶以及域和Microsoft 365 Access進(jìn)行攻擊。

安全建議：

確保在企業(yè)組織中啟用多因素身份驗(yàn)證是阻止這種攻擊方式的關(guān)鍵，密碼管理器程序可以鼓勵(lì)用戶使用更好和更獨(dú)特的密碼。此外，許多密碼管理器會(huì)在用戶重復(fù)使用用戶名和密碼組合時(shí)進(jìn)行提示。

未修補(bǔ)的權(quán)限提升漏洞

您是否在一定程度上助力了攻擊者橫向移動(dòng)的行為？攻擊者一直在使用多種方式進(jìn)行橫向移動(dòng)，例如名為ZeroLogon的CVE-2020-1472 NetLogon漏洞，以提升那些沒有安裝2020年8月份（或更新版本）安全補(bǔ)丁程序的域控制器的權(quán)限。微軟公司最近表示，攻擊者正試圖利用該漏洞實(shí)施攻擊。

安全建議：

及時(shí)安裝補(bǔ)丁，保持軟件處于最新狀態(tài)。

啟用SMBv1協(xié)議

即使為已知的服務(wù)器消息塊版本1（SMBv1）漏洞安裝了所有補(bǔ)丁程序，攻擊者仍有可能會(huì)利用其他漏洞。當(dāng)您安裝Windows 10版本1709系列或更高版本時(shí)，默認(rèn)情況下不啟用SMBv1協(xié)議。如果SMBv1客戶端或服務(wù)器在15天內(nèi)未被使用（計(jì)算機(jī)關(guān)閉的時(shí)間除外），那么Windows 10就會(huì)自動(dòng)卸載該協(xié)議。

安全建議：

SMBv1協(xié)議已有30多年的歷史，應(yīng)該立即停止使用它。有多種方法可以從網(wǎng)絡(luò)中禁用和刪除SMBv1協(xié)議，例如組策略、PowerShell和注冊(cè)表項(xiàng)。

電子郵件保護(hù)措施不充分

是否已盡一切可能確保電子郵件受到合理保護(hù)，免受威脅困擾？攻擊者經(jīng)常通過垃圾郵件進(jìn)入網(wǎng)絡(luò)。安全公司的調(diào)查數(shù)據(jù)顯示，垃圾/釣魚郵件現(xiàn)在主要不是為了竊取用戶信息，而是傳播勒索軟件，進(jìn)而勒索受害者。

導(dǎo)致這一趨勢(shì)的原因是勒索軟件越來越容易發(fā)送，攻擊者能更快地獲取投資回報(bào)。而基于釣魚郵件的網(wǎng)絡(luò)攻擊需要更多的時(shí)間才能獲利。舉例來說，竊取到的信用卡號(hào)碼必須在信用卡被取消前出售和使用，竊取到的身份信息獲得回報(bào)需要更多的時(shí)間。

安全建議：

所有企業(yè)組織都應(yīng)該使用電子郵件安全服務(wù)來掃描和檢查進(jìn)入網(wǎng)絡(luò)的郵件。在電子郵件服務(wù)器前設(shè)置一個(gè)過濾流程。無論該過濾器是Office 365高級(jí)威脅防護(hù)（ATP）還是第三方解決方案，都要在接收電子郵件之前設(shè)置一項(xiàng)服務(wù)來評(píng)估電子郵件發(fā)件人的信譽(yù)、掃描鏈接和檢查內(nèi)容。檢查之前已設(shè)置的所有電子郵件的安全狀況，如果是Office / Microsoft 365，請(qǐng)查看安全分?jǐn)?shù)和ATP設(shè)置。

未經(jīng)培訓(xùn)的用戶

最后也是尤為重要的一點(diǎn)，請(qǐng)確保您的員工不是“最薄弱的環(huán)節(jié)”。即使進(jìn)行了所有適當(dāng)?shù)腁TP設(shè)置，惡意電子郵件也經(jīng)常能夠進(jìn)入收件箱。輕度偏執(zhí)/強(qiáng)迫癥且受過良好教育的終端用戶可能會(huì)成為您最后一道防火墻，以確保惡意攻擊不會(huì)進(jìn)入您的系統(tǒng)。ATP包含一些測(cè)試，以了解您的用戶是否會(huì)遭受網(wǎng)絡(luò)釣魚攻擊。